Los piratas informáticos aprovechan la laguna de la política de Windows para falsificar firmas de controladores en modo kernel


Se ha observado que una laguna en la política de Microsoft Windows es explotada principalmente por actores de amenazas nativos de habla china para falsificar firmas en controladores en modo kernel.

“Los actores están aprovechando múltiples herramientas de código abierto que alteran la fecha de firma de los controladores en modo kernel para cargar controladores maliciosos y no verificados firmados con certificados vencidos”, dijo Cisco Talos en un comunicado. exhaustivo informe en dos partes compartido con The Hacker News. “Esta es una gran amenaza, ya que el acceso al kernel proporciona acceso completo a un sistema y, por lo tanto, un compromiso total”.

Tras la divulgación responsable, Microsoft dicho ha tomado medidas para bloquear todos los certificados para mitigar la amenaza. Afirmó además que su investigación encontró que “la actividad se limitó al abuso de varias cuentas de programas de desarrolladores y que no se ha identificado ningún compromiso de cuenta de Microsoft”.

El gigante tecnológico, además de suspender las cuentas del programa de desarrolladores involucrados en el incidente, enfatizó que los actores de la amenaza ya habían obtenido privilegios administrativos en los sistemas comprometidos antes del uso de los controladores.

Vale la pena señalar que el fabricante de Windows implementó protecciones de bloqueo similares en diciembre de 2022 para evitar que los atacantes de ransomware usen controladores firmados por Microsoft para la actividad posterior a la explotación.

Aplicación de la firma del conductorque requiere que los controladores en modo kernel estén firmados digitalmente con un certificado del Portal de desarrollo de Microsoft, es una línea de defensa crucial contra los controladores maliciosos, que podrían convertirse en armas para evadir las soluciones de seguridad, alterar los procesos del sistema y mantener la persistencia.

La nueva debilidad descubierta por Cisco Talos hace posible falsificar firmas en controladores en modo kernel, lo que permite omitir las políticas de certificados de Windows.

Esto es posible gracias a un excepción creado por Microsoft para mantener la compatibilidad, lo que permite controladores con firma cruzada si estaban “firmados con un certificado de entidad final emitido antes del 29 de julio de 2015 que se encadena a un controlador con firma cruzada compatible”. [certificate authority].”

“La tercera excepción crea una laguna que permite que un controlador recién compilado se firme con certificados no revocados emitidos antes o vencidos antes del 29 de julio de 2015, siempre que el certificado se encadene a una autoridad de certificación con firma cruzada admitida”, la empresa de seguridad cibernética. dicho.

Como resultado, no se impedirá que un controlador firmado de esta manera se cargue en un dispositivo Windows, lo que permitirá a los actores de amenazas aprovechar la cláusula de escape para implementar miles de controladores firmados maliciosos sin enviarlos a Microsoft para su verificación.

Estos controladores no autorizados se implementan utilizando un software de falsificación de marca de tiempo de firma, como HookSignTool y FuckCertVerifyTimeValidityque han estado disponibles públicamente desde 2019 y 2018, respectivamente.

Se puede acceder a HookSignTool a través de GitHub desde el 7 de enero de 2020, mientras que FuckCertVerifyTimeValidity se comprometió por primera vez con el servicio de alojamiento de código el 14 de diciembre de 2018.

Firmas de controladores en modo kernel

“HookSignTool es una herramienta de falsificación de firmas de controladores que altera la fecha de firma de un controlador durante el proceso de firma a través de una combinación de vinculación a la API de Windows y alteración manual de la tabla de importación de una herramienta de firma de código legítima”, explicó Cisco Talos.

En concreto, se trata de enganchar a la Función CertVerifyTimeValidityque verifica la validez temporal de un certificado, para cambiar la marca de tiempo de la firma durante la ejecución.

“Este pequeño proyecto evita que signtool verifique [sic] la validez de la hora del certificado y le permite firmar su contenedor con un certificado obsoleto sin cambiar la hora del sistema manualmente”, se lee en la página de GitHub para FuckCertVerifyTimeValidity.

PRÓXIMO SEMINARIO WEB

🔐 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales

Este seminario web dirigido por expertos lo equipará con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.

Reserve su lugar

“Instale hook en crypt32!CertVerifyTimeValidity y haga que siempre devuelva 0 y haga que kernel32!GetLocalTime devuelva lo que desee, ya que puede agregar “-fuckyear 2011″ a la línea de comando de signtool para firmar un certificado del año 2011”.

Dicho esto, lograr una falsificación exitosa requiere un certificado de firma de código no revocado emitido antes del 29 de julio de 2015, junto con el clave privada y contraseña del certificado.

Cisco Talos dijo que descubrió más de una docena de certificados de firma de código con claves y contraseñas contenidas en un archivo PFX alojado en GitHub en un repositorio bifurcado de FuckCertVerifyTimeValidity. No está claro de inmediato cómo se obtuvieron estos certificados.

Además, se ha observado que HookSignTool se ha utilizado para volver a firmar controladores descifrados con el fin de eludir las verificaciones de integridad de gestión de derechos digitales (DRM), con un actor llamado “Juno_Jr” lanzando una versión descifrada de PrimoCache, una solución legítima de almacenamiento en caché de software. , en un foro de descifrado de software chino el 9 de noviembre de 2022.

“En la versión crackeada […]el controlador parcheado se volvió a firmar con un certificado emitido originalmente a ‘Shenzhen Luyoudashi Technology Co., Ltd.’, que se encuentra en el archivo PFX en GitHub”, dijeron los investigadores de Talos. obstáculo importante al intentar eludir las comprobaciones de DRM en un controlador firmado”.

Firmas de controladores en modo kernel

Eso no es todo. HookSignTool también está siendo utilizado por un controlador previamente no documentado identificado como RedDriver para falsificar su marca de tiempo de firma. Activo desde al menos 2021, funciona como un secuestrador de navegador basado en controladores que aprovecha la plataforma de filtrado de Windows (PMA) para interceptar el tráfico del navegador y redirigirlo a localhost (127.0.0.1).

El navegador de destino se elige al azar de una lista codificada que contiene los nombres de proceso de muchos navegadores populares en chino como Liebao, QQ Browser, Sogou y UC Browser, así como Google Chrome, Microsoft Edge y Mozilla Firefox.

“Inicialmente encontré RedDriver mientras investigaba la falsificación de la marca de tiempo del certificado en los controladores de Windows”, dijo a The Hacker News Chris Neal, investigador de divulgación de Cisco Talos. “Fue una de las primeras muestras con las que me encontré que inmediatamente sospeché. Lo que me llamó la atención fue la lista de navegadores web almacenados dentro del archivo RedDriver”.

El objetivo final de esta redirección del tráfico del navegador no está claro, aunque no hace falta decir que se podría abusar de dicha capacidad para manipular el tráfico del navegador a nivel de paquete.

Las cadenas de infección de RedDriver comienzan con la ejecución de un binario llamado “DnfClientShell32.exe”, que, a su vez, inicia comunicaciones cifradas con un servidor de comando y control (C2) para descargar el controlador malicioso.

“No observamos la entrega del archivo inicial, pero es muy probable que el archivo se empaquetara para hacerse pasar por un archivo de juego y estuviera alojado en un enlace de descarga malicioso”, dijo Neal. “La víctima probablemente pensó que estaba descargando un archivo de una fuente legítima y ejecutó el ejecutable. ‘DNFClient’ es el nombre de un archivo que pertenece a ‘Dungeon Fighter Online’, que es un juego extremadamente popular en China y comúnmente conocido como ‘DNF .'”

“RedDriver probablemente fue desarrollado por actores de amenazas altamente calificados, ya que la curva de aprendizaje para desarrollar controladores maliciosos es empinada”, dijo Cisco Talos. “Si bien la amenaza parece apuntar a los hablantes nativos de chino, es probable que los autores también sean hablantes de chino”.

“Los autores también demostraron familiaridad o experiencia con los ciclos de vida del desarrollo de software, otro conjunto de habilidades que requiere experiencia previa en desarrollo”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57